Vakava haavoittuvuus Linux-kernelissä

Haavoittuvuuden kohde

Tämänhetkisen tiedon mukaan haavoittuvuus koskee laajasti useita Linux-jakeluita, joissa kerneli on koottu 2017 ja kevään 2026 välisenä aikana. Haavoittuvuus on varmistettu koskevan muun muassa Ubuntu, Amazon Linux, RHEL, SUSE -jakeluita, mutta haavoittuvuus koskee myös valtaosaa muita Linux-jakeluita.

Mistä on kysymys?

“Copy Fail” on vakava Linux-käyttöjärjestelmän kernel haavoittuvuus, jonka avulla tavallinen käyttäjä voi saada järjestelmän täydet pääkäyttäjäoikeudet (root).
Haavoittuvuus hyödyntää kernelin krypto-API:n (AF_ALG) ja splice()-järjestelmäkutsun virhettä. Hyökkääjä voi kirjoittaa hallitusti neljä tavua suoraan minkä tahansa luettavissa olevan tiedoston sivuvälimuistiin. Korvaamalla esimerkiksi su- tai sudo-ohjelman koodia välimuistissa, hyökkääjä voi ohittaa salasanatarkistukset ja nousta pääkäyttäjäksi.

Tämän haavoittuvuuden avulla hyökkääjä voi korottaa paikallisia käyttöoikeuksiaan (LPE). Haavoittuvuus hyödyntää kernelin krypto-rajapinnan (AF_ALG) logiikkavirhettä, ja siihen on jo julkaistu toimiva hyökkäyskoodi (PoC).

Mitä voin tehdä?

Seuraa oman Linux-jakelusi tai ohjelmistosi valmistajan tiedotteita ja korjaavia päivityksiä. Haavoittuvuuden hyväksikäytön voi ehkäistä poistamalla käytöstä algif_aead moduuli ja sen jälkeen päivittää kerneli versioon, joka sisältää korjauksen (commit a664bf3d603d), joka poistaa vuoden 2017 optimoinnin ja estää page cache -sivujen päätymisen kirjoitettavaan kohteeseen.

Päivitys 8.5.2026: Dirty Frag ja Copy Fail 2

Toinen samantyyppinen, Dirty Frag -nimellä tunnettu haavoittuvuus on raportoitu päivän aikana. Toinen tutkija on myös itsenäisesti julkaissut esimerkkikoodin samaan haavoittuvuuteen nimellä Copy Fail 2.

Haavoittuvuuden avulla on mahdollista korottaa paikallisen käyttäjän oikeudet pääkäyttäjäksi (root). Haavoittuvuus ketjuttaa kaksi erillistä haavoittuvuutta: `xfrm-ESP Page-Cache Write` (CVE-2026-43284) ja `RxRPC Page-Cache Write` (CVE-2026-43500).

Mitigaatio: tutki, voitko poistaa ympäristössäsi `esp4`, `esp6` ja `rxrpc`-moduulien latauksen käytöstä. Huomioi, että mitigaatio saattaa silti olla vain osittainen.

Päivitys 15.5.2026: Fragnesia

13.5. julkaistiin uusi haavoittuvuus CVE-2026-46300, joka tunnetaan nimellä Fragnesia. Kyseessä on samankaltainen käyttöoikeuksien korottamisen mahdollistava haavoittuvuus kuin aiemmin uutisoidut Copy Fail ja Dirty Frag.

Fragnesian mitigointi on mahdollista poistamalla käytöstä samat kernelmoduulit kuin Dirty Fragin tapauksessa, mutta Dirty Fragin korjaava kernelpäivitys ei korjaa Fragnesiaa. On suositeltavaa pitää aiemmin suositellut kernelmoduulimitigaatiot käytössä, kunnes myös Fragnesian korjaava kernelpäivitys on asennettu.

Fragnesian toiminnan osoittava hyväksikäyttökoodi on julkaistu, mutta haavoittuvuuden aktiivista hyväksikäyttöä ei ole tätä kirjoittaessa havaittu. On kuitenkin syytä olettaa, että uhkatoimijat voivat tätäkin haavoittuvuutta hyödyntää nopeasti, joten joko mitigaatio tai kernelpäivitys on syytä suorittaa viipymättä.

Päivitys: Mitigointikeinot

Debian-jakeluun on nyt saatavilla paketti `linux-vulnerability-mitigation`, joka poistaa käytöstä seuraavat haavoittuvat kernel-moduulit: `algif_aead` (CVE-2026-31431); `esp4`, `esp6`, `xfrm_user`, `xfrm_algo` (CVE-2026-43284); `rxrpc` (CVE-2026-43500). Samaa menetelmää voi soveltaa myös muihin Linux-jakeluihin.